Wireshark可以指定只捕获某种类型的数据包，这些过滤功能实际上是由Winpcap提供的。Wireshark在捕获网络数据时真正起作用的是Winpcap驱动核心。Winpcap除了正常的发包、收包之外，最强大的功能就是提供了过滤规则。

所谓过滤是指用户设定一些规则屏蔽掉一些不希望捕获到的数据，以使捕获到的数据更具针对性，这在使用Winpcap捕获网络数据包时经常使用。在数据捕获之前进行过滤设置，然后捕获数据。Winpcap的强大功能之一就是它的过滤器引擎，该功能用到了pcap_compile（）和pcap_setfilter（）两个函数。其中前者将一个包含高级布尔表达式的过滤规则字符串转化为底层的字节代码，这种字节代码可以由Winpcap包驱动程序的过滤引擎来解释并执行；后一个函数将一个编译好的过滤规则同一个捕获会话联系起来，即该函数执行之后，过滤规则就将应用于指定的包捕获过程。由此可见，设置过滤器最主要的工作在于如何根据规则构造过滤表达式。这里有一点需要说明，Wireshark的过滤规则和Winpcap是完全兼容的，也即Winpcap的过滤表达式可以直接写在Wireshark的对话框内，因为Wireshark只是Winpcap的界面封装而已。在Wireshark中，选择菜单Capture→Options→CaptureFilter，可以设置过滤表达式。

过滤表达式使用的限定符和过滤表达式例子如下。

1）逻辑操作符：and、or、not，对子表达式进行组合，同时支持小括号。

2）基于协议的过滤要使用协议限定符，协议限定符可以为ip、arp、rarp、tcp和udp等。

3）基于MAC地址的过滤要使用限定符ether（代表Ethernet物理地址）。当该MAC地址作为源地址时过滤表达式为ether src mac_addr；仅作为目的地址时表达式为ether dst mac_addr；既作为源地址又作为目的地址时为ether host mac_addr。其中mac_addr为MAC地址，要遵循如下格式，如00：E0：4C：E0：38：88，格式不对编译器会报错。

4）基于IP地址的过滤使用限定符host（代表主机地址）。当该IP地址作为源地址时过滤表达式为是src host ip_addr；仅作为目的地址时为dst host ip_addr；既作为源地址又作为目的地址时表达式为host ip_addr。

5）基于端口的过滤使用限定符port。例如，接收80端口的数据包则表达式为port80。这里的端口包括源端口和目的端口。即无论源端口还是目的端口，只要是80就会被捕获。

例1：只捕获ARP或ICMP数据包。(www.daowen.com)

过滤表达式为：arp or（ipandicmp），或者简写为arp or icmp。

例2：捕获以192.128.1.23为源或目的地址的端口为80的TCP数据包。

过滤表达式为：（ip and tcp）and（host 192.168.1.23）and（port 80）。

例3：捕获主机192.168.1.23与192.168.1.28之间传递的所有UDP数据包。

过滤表达式为：（ip and udp）and（（sr chost 192.168.1.23 and dst host 192.168.1.28）or（dst host 192.168.1.23 and src host 192.168.1.28））。

例4：捕获从MAC地址00-13-D3-A1-D2-F6到00-50-56-C0-00-01之间所有的ARP数据包。

过滤表达式为：arp and（ether src 00：13：D3：A1：D2：F6 and ether dst 00：50：56：C0：00：01）。